Warum man als Forenbetreiber so langsam über den Einsatz von SSL nachdenken sollte…

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Warum man als Forenbetreiber so langsam über den Einsatz von SSL nachdenken sollte…

    26 Dez 2016 10

    SSL* ("Secure Sockets Layer") ist ein Übertragungsprotokoll, das für mehr Sicherheit bei der Datenübertragung sorgt. Während bei normalen Verbindungen Daten, wie z.B. Passwörter, im Klartext übertragen werden, überträgt SSL die Daten verschlüsselt, sie sind also nicht ohne Weiteres einsehbar.

    Eine Verschlüsselung ist zum Beispiel in fremden WLan-Netzwerken an öffentlichen Plätzen wichtig. Hier sollte man sich grundsätzlich nicht bei Seiten ohne HTTPS-Verbindung anmelden, da die Daten (Passwörter usw.) sonst von anderen Leuten mitgelesen werden können.

    Es ist also auch so schon grundsätzlich eine gute Idee SSL einzusetzen, um seinen Mitgliedern einen gewissen Schutz bei der Passwortübertragung zu bieten. Nicht wenige Leute verwenden das selbe Passwort für viele Accounts und nicht immer ist offensichtlich, wie und wo es zu einem Hack gekommen ist.

    Zum 1.1.2017 ändert sich eine grundlegende Sache. Google geht in Chrome dazu über Seiten mit Formularen, die Daten unverschlüsselt übertragen, entsprechend als unsicher zu kennzeichnen. Das sieht, am Beispiel eines Logins in Burning Board 4, wie folgt aus:



    Das ist jedoch nur der Anfang, denn Google hält sich offen künftige Hinweise noch auffälliger zu gestalten, das könnte dann so aussehen:



    Für Forenbetreiber stellt sich jetzt auch die Frage, ob sich das nicht negativ auf neue Mitglieder auswirkt. Es kann durchaus abschreckend wirken sich auf einer Seite zu registrieren, wenn man direkt damit konfrontiert wird, dass die Daten nicht sicher sind. Vor allem dann, wenn das bei anderen Foren nicht der Fall ist.

    Es ist davon auszugehen, dass die anderen Browser-Hersteller mit einem ähnlichen Hinweis nachziehen werden. Das ist jedoch spekulativ, ebenso wie die Annahme, dass unsichere Seiten im Google-Ranking künftig benachteiligt werden könnten. Ausgeschlossen ist dies jedoch nicht, es wäre nur der nächste logische Schritt das so umzusetzen.

    Waren SSL-Zertifikate früher Server-Betreibern vorbehalten, ist es mittlerweile bei vielen Anbietern (zum Beispiel HostEurope oder ALL-INKL COM) auch möglich Webspace mit SSL zu schützen.

    SSL ist auch nicht zwangsläufig mit Zusatzkosten verbunden, mit Lets’s Encrypt gibt es eine Möglichkeit kostenlose Zertifikate zu erhalten:

    letsencrypt.org

    Wer sich bis jetzt nicht mit dem Thema auseinandergesetzt hat, sollte das bald ins Auge fassen, denn einen richtigen Grund ein Forum unverschlüsselt zu betreiben, gibt es heute nicht mehr. Über die Sicherheit hinaus sollen die Seiten, über HTTPS übertragen, auch schneller geladen werden.

    Quelle: Google Blog: security.googleblog.com/2016/0…ards-more-secure-web.html



    * Der Nachfolger von SSL ist TLS (Transport Layer Security), gebräuchlicher ist jedoch der alte Begriff SSL.



    Update 5. Januar 2017

    Der Einsatz von SSL ist wie eine neue Domain anzusehen, daher muß man seine vorhandene Domain von http auf https umleiten damit der Inhalt nicht doppelt von den Suchmaschinen indiziert wird und damit das eigene Projekt nur noch über eine verschlüsselte Verbindung erreichbar ist. Üblicherweise erstellt man dafür eine Umleitungdefinition in einer .htaccess die im Rootverzeichnis liegt. Diese könnte zum Beispiel so aussehen:

    Quellcode

    1. RewriteEngine On
    2. RewriteCond %{SERVER_PORT} !=443
    3. RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
    Je nach Anbieter kann man die Umleitung aber auch direkt im Kontrollpanel einrichten.
    TwitterFacebook

    Mein Blog: TwentyMag <- Lesen, Teilen, Liken, Kommentieren, Abonnieren. Ihr wisst bescheid, was labere ich hier groß rum
    :eyes:

    2.901 mal gelesen

Kommentare 10

  • Piero -

    Ich habe die Geschichte SSL schon mal vor etwas mehr als einem Jahr begonnen und wieder verworfen weil
    mein Hoster es nicht hinbekommen hat ein Zertifikat ohne www. auszustellen.
    Da es das Zertifikat auf Probe gab hab ich es wieder vor Ablauf storniert.
    Durch diesen Blog - Eintrag hab ich es wieder versucht und der Hoster hat es nun auch hinbekommen.
    Leider hatte der Hoster etwas nicht richtig eingerichtet und man sucht den Fehler immer bei sich selbst.
    Dank der Hilfe von Tom und anderen Usern hier im Forum hat sich bestätigt das hier ein Fehler vorliegen muss.
    Nun läuft https, jetzt muss ich noch abwarten ob alles wieder indexiert wird, dauert halt.

    PS. es hängt aber mehr dran an der Umstellung als man denkt.

  • EM_Jott -

    Der Artikel hat inspiriert auf HTTPS umzustellen :)

  • Black Rider -

    Psst, der Nachfolger ist „TLS“, nicht „TSL“. :)

  • Verso -

    Was müsste man den im WCF ändern ? Ich habe alles soweit eingestellt bei meinem Hoster, die Seite wird aber nicht automatisch auf https umgestellt.

    • da_benzel -

      Du kannst mit einer htaccess SSL (bzw. https://) forcieren. Einfach mal Google anschmeißen. Viele Hoster (in meinem Fall All-Inkl) haben auch schon die Möglichkeit geschaffen, LetsEncrypt zu nutzen.

    • Verso -

      Das mit der htaccess hatte mir gefehlt. Klappt jetzt.

    • wik -

      All-Inkl.com bietet in den SSL-Einstellungen auch direkt die Möglichkeit HTTPS zu erzwingen.

  • hamburger -

    Sehr guter Blogbeitrag, danke dafür! Da ich im Englischem doch recht unsicher bin, will ich mal Fragen ob es für den verlinkten kostenlosen Dienst auch irgendwo eine deutsche Anleitung gibt bzw. ob dies bekannt ist.